Ssl Kubernetes代理服务和部署之间的自定义CA和证书
我的Kubernetes群集有2个应用程序Ssl Kubernetes代理服务和部署之间的自定义CA和证书,ssl,kubernetes,proxy,certificate,Ssl,Kubernetes,Proxy,Certificate,我的Kubernetes群集有2个应用程序 通过https://连接到外部API的部署-让我们调用它获取程序 一种代理服务,它终止HTTPs请求以检查报头的速率限制,称为proxy 部署使用提到的代理,请描述以下体系结构 Fetcher部署代理外部API 在我转到Kubernetes之前,通过创建一个自签名证书和证书颁发机构CA来信任它们,并将它们放在获取程序和代理上,解决了这个问题。该证书仅包含docker的IP地址作为SAN X509v3 Subject Alternative Name
- 通过https://连接到外部API的部署-让我们调用它
获取程序
- 一种代理服务,它终止
请求以检查报头的速率限制,称为HTTPs
proxy
Fetcher部署代理外部API
在我转到Kubernetes之前,通过创建一个自签名证书和证书颁发机构CA来信任它们,并将它们放在获取程序和代理上,解决了这个问题。该证书仅包含docker的IP地址作为SAN
X509v3 Subject Alternative Name:
DNS:example.com, DNS:www.example.com, DNS:mail.example.com, DNS:ftp.example.com, IP Address:192.168.99.100, IP Address:192.168.56.1, IP Address:192.168.2.75
但是我不能在库伯内特斯这样做,对吗?由于部署和服务的IP地址都无法保证,因此IP地址可能会发生变化。我正在使用KubernetesCoreDNS
解决方案,我可以在证书中添加dns地址吗?我对ssl/certificates的了解不够,无法理解
如何在Kubernetes中创建证书和CA,以便在代理发送的证书与获取程序上的自定义证书颁发机构之间创建信任关系?如果通过服务公开代理部署,然后,默认情况下,它将被分配一个
ClusterIP
,即使运行代理的POD的IP可能会随着时间的推移而变化,该集群也将保持稳定。您将希望使用与服务的ClusterIP
对应的IPSAN生成证书,而不是POD的任何IP。查看。有时候,有人需要指出一个显而易见的问题答案。一切正常。我在证书中添加了该服务作为其dns记录,其余作为clusterIP。谢谢!